フィッシング（Phishing）攻撃は、人を騙してWebサービス等の認証情報を窃取するサイバー攻撃で、現在も被害が数多く報告されていることは読者の皆様もご存じかと思います（参考:Info! No.22コラム）。今回のコラムではフィッシング攻撃に釣られないように、攻撃の例や手法、そしてその対策として自身でできることについて考えていきます。

フィッシング攻撃の例

フィッシング（Phishing）という用語の歴史は古く、1995年にAOHellというプログラムで用いられていたと言われています。日本では2005年4月にフィッシング対策協議会（https://www.antiphishing.jp/）が設立され、2025年4月には月間で約25万件のフィッシング攻撃の報告が同協議会へ寄せられています。報告例としては、ECサイトや宅配サービス等の普段利用しがちなものを騙ったり、国税局や税務署のような国の機関になりすまして緊急性を煽ったりしています。2025年に入ってからは、証券会社各社を騙った攻撃によりユーザの認証情報が窃取され、ユーザの証券口座で不正に取引される被害が多く出ています。

フィッシング攻撃の入口

多くのフィッシング攻撃では、攻撃者が用意した偽のログインページのURLをメール本文に記載し送付します。手あたり次第に送付する以外にも、特定の個人・団体に狙いを定めて送付するもの（スピアフィッシング）まであります。URLの文字列を記載せず、URLをQRコード（※）にして送付するものもあります。また、メール以外に携帯電話のショートメッセージサービス（SMS）を利用したスミッシング（Smishing: SMS Phishing）、音声を利用したヴィッシング（Vishing: Voice Phishing）等があります。認証情報（ユーザ名とパスワードの組）の入力を求められることが一般的ですが、最近では多要素認証のトークンも追加入力させてリアルタイムに不正ログインを試みる攻撃が流行しています。

※QRコードは株式会社デンソーウェーブの登録商標です

今すぐできる！フィッシング攻撃対策

フィッシング攻撃対策としては「メールの本文やリンク先のサイトの違和感を見極める」「URLの文字列を注意深く見る」といった、目で見て判断する方法がよく言われています。しかし、これが困難な場合を挙げてみます。例えば、メール本文や偽のログインページが正規のもののコピーだとしたら見極められるでしょうか？また、URLの文字列を誤認させる方法もあります。以下は単語の一部が異なりますが、見極められるでしょうか？

(1) аpple.example.net   (2) apple.example.net   (3) apple.example.net

この例は「IDNホモグラフ攻撃」と呼ばれる手法で、英数字だけでなく国際化ドメイン名で利用可能なキリル文字等が混ぜられています。従来からある「0（ゼロ）とO（オー）」を誤判別させるよりも目視での判別が難しく感じられるのではないでしょうか。

自身でできる対策は、他者からメール等で送られてきたURLをクリックしないことです。日頃から利用するサービスのURLは事前にブックマークしたり、公式のアプリケーションをインストールしておきましょう。何か連絡を受けた際に1次情報源をまず確認する習慣があるだけで、偽のログインページへのアクセスを避けられます。

最後に、情報環境機構のセキュリティ対策掛では、フィッシング攻撃を含めた不審なメールの情報提供のご協力をお願いしています。皆様から寄せられた情報をもとに注意喚起や技術的な対策を実施し、学生・教職員の皆様が学内のネットワーク環境をより安心・安全にご利用いただけるように努めてまいります。

（津田 侑：情報環境機構 セキュリティアーキテクト）